Konfigurera Okta som identitetsprovider (förhandsversion)

Den här artikeln beskriver hur du integrerar Okta som identitetsprovider (IdP) för ett Amazon Web Services-konto (AWS) i Microsoft Entra Permissions Management.

Behörigheter som krävs:

konto	behörigheter som krävs	Varför?
Behörighetshantering	Administratör för behörighetshantering	Administratören kan skapa och redigera AWS-auktoriseringssystemets registreringskonfiguration.
Okta	ADMINISTRATÖR FÖR API-åtkomsthantering	Administratören kan lägga till programmet i Okta-portalen och lägga till eller redigera API-omfånget.
AWS	AWS-behörigheter uttryckligen	Administratören bör kunna köra cloudformation-stacken för att skapa 1. AWS Secret in Secrets Manager; 2. Hanterad policy för att rollen ska kunna läsa AWS-hemligheten.

Notera

När du konfigurerar Amazon Web Services-appen (AWS) i Okta är den föreslagna syntaxen för AWS-rollgruppen (aws#{account alias]#{role name}#{account #]). RegEx-exempelmönstret för gruppfilternamnet är:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Behörighetshantering läser standardförslagsfilter. Det anpassade RegEx-uttrycket för gruppsyntax stöds inte.

Så här konfigurerar du Okta som identitetsprovider

1. Logga in på Okta-portalen med API Access Management Administrator.
2. Skapa ett nytt Okta API Services-program.
3. I administratörskonsolen går du till Program.
4. På sidan Skapa en ny appintegrering väljer du API Services.
5. Ange ett namn för appintegrering och klicka på Spara.
6. Kopiera klient-ID:t för framtida användning.
7. I avsnittet klientautentiseringsuppgifter på fliken Allmänt klickar du på Redigera för att ändra klientautentiseringsmetoden.
8. Välj offentlig nyckel/privat nyckel som klientautentiseringsmetod.
9. Lämna standardvärdet Spara nycklar i Oktaoch klicka sedan på Lägg till nyckel.
10. Klicka på Lägg till och i dialogrutan Lägg till en offentlig nyckel klistrar du antingen in din egen offentliga nyckel eller klickar på Generera ny nyckel för att generera en ny 2048-bitars RSA-nyckel automatiskt.
11. Kopiera offentliga nyckel-ID för framtida användning.
12. Klicka på Generera ny nyckel och de offentliga och privata nycklarna visas i JWK-format.
13. Klicka på PEM. Den privata nyckeln visas i PEM-format. Det här är din enda möjlighet att spara den privata nyckeln. Klicka på Kopiera till Urklipp för att kopiera den privata nyckeln och lagra den på ett säkert ställe.
14. Klicka på Färdig. Den nya offentliga nyckeln är nu registrerad i appen och visas i en tabell i avsnittet OFFENTLIGA NYCKLAR på fliken Allmänt.
15. På fliken Okta API-omfång beviljar du följande omfång:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. Valfri. Klicka på fliken Programhastighetsbegränsningar för att justera kapacitetsprocenten för hastighetsbegränsningen för det här tjänstprogrammet. Som standard anger varje nytt program den här procentandelen till 50 procent.

Konvertera offentlig nyckel till en Base64-sträng

1. Se anvisningar för genom att använda en personlig åtkomsttoken (PAT).

Hitta din Okta-URL (kallas även en Okta-domän)

Den här Okta-URL:en/Okta-domänen sparas i AWS-hemligheten.

1. Logga in på din Okta-organisation med ditt administratörskonto.
2. Leta efter Okta URL och Okta-domän i den översta menyn på instrumentpanelen. När du har lokaliserat okta-URL:en, notera den i en app som till exempel Anteckningar. Du behöver den här URL:en för nästa steg.

Konfigurera detaljer för AWS-stack

1. Fyll i följande fält på CloudFormation Template Ange stackinformation skärmen med hjälp av informationen från ditt Okta-program:
   • Stack name – Ett namn som vi väljer
   • eller URL Din organisations Okta-URL, till exempel: https://companyname.okta.com
   • klient-ID – Från avsnittet klientautentiseringsuppgifter i ditt Okta-program
   • offentligt nyckel-ID – Klicka på Lägg till > Generera ny nyckel. Den offentliga nyckeln genereras
   • privat nyckel (i PEM-format) – Base64-kodad sträng i PEM-formatet för Privat nyckel

   Not

   Du måste kopiera all text i fältet innan du konverterar till en Base64-sträng, inklusive strecket före BEGIN PRIVATE KEY och after END PRIVATE KEY.

2. När skärmen Ange stackinformation i CloudFormation Template är klar, klickar du på Nästa.
3. På skärmen Konfigurera stackalternativ klickar du på Nästa.
4. Granska den information som du har angett och klicka sedan på Skicka.
5. Välj fliken Resurser och kopiera sedan fysiskt ID (det här ID:t är den hemliga ARN:en) för framtida användning.

Konfigurera Okta i Microsoft Entra-behörighetshantering

Not

Att integrera Okta som identitetsprovider är ett valfritt steg. Du kan gå tillbaka till de här stegen för att konfigurera en IdP när som helst.

1. Om datainsamlare instrumentpanelen inte visas när Behörighetshantering startas väljer du Inställningar (kugghjulsikon) och väljer sedan datainsamlare underfliken.

2. På instrumentpanelen för datainsamlare väljer du AWSoch väljer sedan Skapa konfiguration. Slutför stegen Hantera auktoriseringssystem.

   Not

   Om det redan finns en datainsamlare i ditt AWS-konto och du vill lägga till Okta-integrering följer du dessa steg:

   1. Välj den datainsamlare som du vill lägga till Okta-integrering för.
   2. Klicka på ellipsen bredvid Authorization System Status.
   3. Välj Integrera identitetsleverantör.

3. På sidan Integrera identitetsleverantör (IdP) väljer du rutan för Okta.

4. Välj Initiera CloudFormation-mall. Mallen öppnas i ett nytt fönster.

   Not

   Här fyller du i information för att skapa ett hemligt Amazon Resource Name (ARN) som du anger på sidan Integrera identitetsprovider (IdP). Microsoft läser eller lagrar inte denna ARN.

5. Gå tillbaka till sidan Behörighetshantering Integrera identitetsprovider (IdP) och klistra in Hemliga ARN- i det angivna fältet.

6. Klicka på Nästa för att granska och bekräfta den information som du har angett.

7. Klicka på Verifiera nu & Spara. Systemet returnerar den ifyllda AWS CloudFormation-mallen.

Nästa steg

• Information om hur du kan visa befintliga roller/policyer, begäranden och behörigheter finns i Visa roller/policyer, begäranden och behörigheter på instrumentpanelen för reparationer.